8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00

683‑П: Приведение в соответствие и оценка для банка

Мы предлагаем:

  • Обеспечение соответствия ГОСТ Р 57580.1-2017
  • Проведение оценки соответствия по методике ГОСТ Р 57580.2-2018
  • Обеспечение соответствия основной части 683-П
  • Разработка организационно-распорядительной документации для соответствия 683-П и ГОСТ Р 57580.1-2017

Вы получаете:

Ввиду существенного отличия требований ГОСТ 57580 от уже привычных требований 382-П, мы окажем, помимо всего прочего, консультативную поддержку Банку в части приведения системы информационной безопасности в соответствие с требованиями стандарта.

Важно:

Оценка соответствия по ГОСТ Р 57580 проводится один раз в два года.

683‑П: Приведение в соответствие и оценка для банка
Пройти оценку соответствия по 683‑П

Эксперты по приведению в соответствие требованиям 683-П и проведению оценки по ГОСТ Р 57580

Эксперт по приведению в соответствие требованиям 683-П и проведению оценки по ГОСТ Р 57580 Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по приведению в соответствие требованиям 683-П и проведению оценки по ГОСТ Р 57580 Музалевский Фёдор Александрович

Музалевский Фёдор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по приведению в соответствие требованиям 683-П и проведению оценки по ГОСТ Р 57580 Царев Евгений Олегович

Царев Евгений Олегович

Эксперт по информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по приведению в соответствие требованиям 683-П и проведению оценки по ГОСТ Р 57580 Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Эксперт по приведению в соответствие требованиям 683-П и проведению оценки по ГОСТ Р 57580 Алтухов Артём Валерьевич

Алтухов Артём Валерьевич

Ведущий консультант по информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2017 года

Профиль >>

Все эксперты
Эксперт по приведению в соответствие требованиям 683-П и проведению оценки по ГОСТ Р 57580 Федюнина Анастасия Валерьевна

Федюнина Анастасия Валерьевна

Консультант по информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2019 года

Профиль >>

Все эксперты

Положение № 683-П ЦБ РФ от 17.04.2019 устанавливает обязательные требования по защите информации в целях противодействия осуществлению переводов денежных средств без согласия клиента для банков.

Полное название документа:

Положение об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (утв. Банком России 17.04.2019 N 683-П)

Скачать последнюю редакцию Положения 683-П можно по здесь (doc, pdf)

Суть 683-П

Положение становится ключевым элементом регулирования информационной безопасности и защиты информации в банковских организациях со стороны Банка России. 683-П действует наравне с другими требованиями ЦБ, в частности:

Положением Банка России № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…»

Важно 683-П не отменяет 382-П, а напротив, дополняет и расширяет область применения.

Также ключевыми документами становятся ГОСТ Р 57580.1 и ГОСТ Р 57580.2. Происходит это за счет прямых ссылок на ГОСТы и явное указание необходимости соответствовать им для банков.

Аналогичное Положение под номером 684-П принято в отношении некредитных финансовых организаций. Подробнее на странице услуг Приведение в соответствие и оценка по 684-П для НФО.

Для того чтобы разобраться с тем как адаптироваться к новым реалиям регуляции необходимо четко разобрать содержание 683-П и выделить главное.

Какая информация должна защищаться по 683-П?

Информация, которая должна защищаться по 683-П

  • Электронные сообщения, содержащиеся в документах, составленных при осуществлении банковских операций в электронном виде, формируемые работниками кредитных организаций и (или) клиентами кредитных организаций
  • Криптографические ключи, ключевая информация средств криптографической защиты информации, используемой при осуществлении банковских операций
  • Авторизационная информация, необходимая для авторизации клиентов при совершении действий в целях осуществления банковских операций и удостоверения права клиентов распоряжаться денежными средствами
  • Информации об осуществленных банковских операциях

На кого распространяются требования 683-П Банка России?

На кого распространяются требования 683-П
Все без исключения кредитные организации разделены на 2 группы:

  1. Системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитные организации, значимые на рынке платежных услуг
  2. Все остальные кредитные организации

Все банки должны обеспечить соответствие ГОСТ Р 57580.1-2017. При этом, первая группа (системно значимые банки и пр.) должны реализовывать усиленный уровень защиты информации, а все остальные должны реализовывать стандартный уровень защиты информации.

Важно! Реализация усиленного уровня защиты информации в соответствии с ГОСТом 57580.1 значительно более трудоемкий процесс в сравнении со стандартным уровнем защиты информации.

Одним из первых требований 683-П, которое вступило в силу по истечении 10 дней после дня его официального опубликования, это требование обеспечить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

Подробнее на странице услуги Пентест по 382-П и 683-П.

Данный пункт согласуется с действующими требованиями Положения №382-П, который обязывает банки нанять внешнюю организацию для проведения пентеста и анализ уязвимостей и произвести их до 1 июля 2019 года.

    Нужна консультация?

    Важные требования 683-П для банков

    В числе большого количества требований, которые уже выполняются банками в рамках соответствия 382-П, в 683-П содержатся и новые требования.

    • П.5.1. Кредитные организации должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом.

    Далеко не все применяемые в настоящий момент банками технологии позволяют обеспечить целостность. В частности, банками используются платежные архитектуры, в которых смс и push-уведомления не позволяют обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом.

    Подробнее в нашем исследовании: Анализ правомерности использования банками Российской Федерации СМС и push-уведомлений для взаимодействия с клиентами.

    • П.6. В случае наличия в технической документации на СКЗИ требований к оценке влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявляемых к ним требований, такая оценка должна проводиться в соответствии с Положением ПКЗ-2005 по техническому заданию, согласованному с федеральным органом исполнительной власти в области обеспечения безопасности.

    Банк России в явном виде отразил необходимость оценки влияния аппаратных, программно-аппаратных и программных средств, совместно с которыми функционирует СКЗИ. Ранее многими банками данные работы игнорировались.

    Оценка по ГОСТ Р 57580.2 для банков

    Ключевым элементом всей конструкции является обязательность проведения внешней оценки соответствия (аудита) сторонней организацией. В качестве внешней организации необходимо привлекать лицензиата ФСТЭК России (пункты б, д, е лицензии на техническую защиту конфиденциальной информации).

    683-П

    Все банки должны проводить оценку соответствия по ГОСТ Р 57580.2-2018 вне зависимости от уровня защиты информации (усиленный или стандартный) не реже одного раза в два года.

    Когда 683-П вступает в силу?

    683-П вступает в силу
    Положение вступает в силу с 1 июня 2019 года, однако часть положений содержат отсрочку. В частности:

    • Пункт 4.1 (по сертификации и анализу уязвимостей в прикладном ПО ОУД4) вступил в силу с 1 января 2020 года (Временно дана отсрочка до 1 июня 2021 года)
    • Пункт 9.2 (по проведению внешней оценки соответствия по ГОСТ Р 57580.2 — достижение третьего уровня соответствия (0.7)) вступает в силу с 1 января 2021 года
    • Пункт 9.2 (по проведению внешней оценки соответствия по ГОСТ Р 57580.2 — достижение четвертого уровня соответствия (0.85)) вступает в силу с 1 января 2023 года

    Дополнительные услуги по 683-П

    Сторонние организации, обладающие лицензиями ФСТЭК России, могут проводить следующие работы:

    Почему RTM Group?

    • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
    • Оценки соответствия и внедрение по ГОСТ Р 57580 проводятся экспертами обладающими большим опытом проведения оценок соответствия по СТО БР ИББС, ISO 27001 и 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ Р 57580.1
    • Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности и количества объектов)
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать услуги по приведению в соответствие требованиям 683-П и проведению оценки по ГОСТ Р 57580

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email: info@rtmtech.ru






    Видео по приведению в соответствие требованиям 683-П и проведению оценки по ГОСТ Р 57580

    Почему RTM Group

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    В составе ТК №122

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Сайт RTM Group входит в пятерку лучших юридических сайтов России

    Цены на услуги по приведению в соответствие требованиям 683-П и проведению оценки по ГОСТ Р 57580

    Наименование услуги Стоимость

    Консультация

    бесплатно

    Аудит соответствия общим требованиям 683-П (без ОУД4)

    Срок — от 6 недель

    Опросный лист (анкета)

    от 300 000 руб.

    Аудит соответствия общим требованиям в 3 этапа: GAP-анализ, разработка ОРД, проведение финального этапа аудита общих требований 683-П (без ОУД4)

    Срок — от 10 недель

    Опросный лист (анкета)

    от 600 000 руб.

    Оценка соответствия по ГОСТ Р 57580

    Срок — от 10 недель

    от 600 000 руб.

    Аудит в 3 этапа: GAP-анализ, разработка ОРД, финальная оценка соответствия по ГОСТ Р 57580

    Срок — от 12 недель

    от 800 000 руб.

    Полный аудит соответствия требований 683-П и проведение оценки по ГОСТ Р 57580

    Срок — от 16 недель

    от 800 000 руб.

    Разработка ОРД по требованиям 683-П

    Срок — от 2 недель

    от 200 000 руб.

    Для Вашего удобства и экономии времени предлагаем Вам заполнить Опросный лист (анкету) и направить на почту info@rtmtech.ru. На основании заполненного опросного листа, мы оперативно сформируем коммерческое предложение и отправим Вам ответным письмом.

    Наши преимущества

    382-П, 683-П, 757-П, Пентест, ОУД4 и пр.

    Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

    Каждый 5-й российский банк - наш клиент

    Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

    Нами проведено более 470 аудитов

    Сотрудники компании провели более 470 аудитов по различным критериям

    3 лицензии

    ФСТЭК России и ФСБ России

    100% удовлетворенность заказчиков

    Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

    FAQ: Часто задаваемые вопросы

    В чем отличие 382-П и 683-П? Нужно ли проводить два аудита?

    Самым главным отличием 382-П и 683-П является область применения и цели Положений.

    Положение № 382-П устанавливает требования к защите информации не только кредитных организаций, являющихся операторами по переводу денежных средств, но и иных субъектов национальной платежной системы, указанных в части 3 статьи 27 Федерального закона № 161-ФЗ.

    Для кредитных организаций 683-П делает ГОСТ Р 57580.1 обязательным. Таким образом обязательно проведение двух аудитов – по 382-П и по ГОСТ 57580.

    В ГОСТе фигурирует термин «межсетевое экранирование». Надо ли его трактовать буквально и для его реализации применять только специализированные межсетевые экраны или возможно применение любых технических средств, которые могут обеспечить разграничение доступа на уровне сети?

    В ГОСТе не указан способ реализации межсетевого экранирования, который обязателен к использованию. Если используемое ПО, коммутаторы и маршрутизаторы имеют возможность фильтровать трафик, то их использование допустимо. Применение таких средств, имеющих, в соответствии с РЗИ11-13 класс защиты от 4 до 6 (в зависимости от реализуемого уровня защиты информации), необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации.

    Есть межсетевые экраны Fortinet, будут ли они учитываться в качестве средств защиты от вредоносного кода, например? Функционал у решения широкий. Аналогично IPS и прочее, что содержит функционал для борьбы с вредоносным кодом.

    Межсетевые экраны будут учитываться как средство от вредоносного кода только на уровне межсетевого трафика. Можно использовать МЭ Fortinet для обеспечения должной и целостной защиты от вредоносного кода только в сочетании с антивирусным средством, развернутым на уровне АРМ и уровне серверов. Необходимо подчеркнуть, что в организации должен применяться разновендорный подход и раздельная установка антивирусных средств. Отдельно МЭ Fortinet с функцией антивирусной защиты не обеспечивает антивирусную защиту организации.

    57580.1 говорит об использовании компенсирующих мер (пункт 6.4). Можно ли отказаться от каких-либо защитных мер, заменив их компенсирующими? Мы планируем использовать решения на OpenSource. Можно ли их учесть как компенсирующие меры для замены дорогих средств защиты?

    Замена на компенсирующие меры осуществляется при невозможности технической реализации отдельных выбранных мер защиты информации, содержащихся в ГОСТ 57580.1-2017. Применение компенсирующих мер должно быть обосновано.  Компенсирующие меры обязаны исключать реализацию угроз с той же эффективностью, что и при выполнении «компенсируемого» базового состава мер.

    Решения Open Source не обязательно являются компенсирующими, они могут выполнять функционал базовых мер по защите информации. Однако, у них, вероятнее всего, не будет выполняться требование о соответствии классу защиты (меры РЗИ.11-13), что немного снизит итоговую оценку.

    Есть ли какие-то требования к обеспечению безопасности журналов учета (особенно интересует электронный вид)? Есть ли регламент ведения? Как хранить журналы? (учет СКЗИ)

    Существует несколько основных нормативных документов, регулирующих отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее — информация конфиденциального характера).

    Это, в том числе: Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ — 2005) (в ред. приказа ФСБ РФ от 12.04.2010 N 173) и утверждённая Приказом ФАПСИ от 13 июня 2001г. №152 «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (далее по тексту Инструкция). В Положении ПКЗ — 2005 нет информации про журналы учета СКЗИ. В п.п.26,27 Инструкции сказано: «Журналы поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (приложения №1, 2 к Инструкции) ведут органы криптографической защиты и обладатели конфиденциальной информации. Все полученные обладателем конфиденциальной информации экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям СКЗИ, несущим персональную ответственность за их сохранность».

    Таким образом, ни в одном из вышеперечисленных документов, регламентирующих правила: создания, ввода в эксплуатацию, эксплуатации, хранения, вывод из эксплуатации СКЗИ, не определены требования к обеспечению безопасности самого журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации). Можно лишь предположить, что требования к обеспечению безопасности данного журнала должны быть такими же, как и к учтённой в нём информации, то есть его необходимо хранить в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение. Если Журнал ведётся в электронном виде, то необходимо исключить несанкционированный доступ к нему, используя организационные и технические меры защиты информации

    Как реализовать меры СМЭ.14 и СМЭ.15 ГОСТа 57580.1? Все представленные сегодня на рынке средства межсетевого экранирования, работают на третьем уровне или выше, а в СМЭ.14 сказано, что не выше второго, канального. Возможно, речь идет о разграничении доступа и/или контроле на интерфейсах маршрутизатора?

    Здравствуйте.

    Данные меры можно реализовать при помощи управляемых коммутаторов (СМЭ.14) и маршрутизаторов (СМЭ.15) а также межсетевых экранов.

    Коммутаторы корпоративного уровня Cisco, Bay Networks (Nortel), 3Com и других производителей позволяют привязывать MAC-адреса сетевых карт компьютеров к определенным портам коммутатора. Более того, немало коммутаторов предоставляет возможность фильтрации информации на основе адреса сетевой платы отправителя или получателя, создавая при этом виртуальные сети (VLAN). Другие коммутаторы позволяют организовать VLAN на уровне портов самого коммутатора. Подобным функционалом обладает и большинство межсетевых экранов, при помощи которых также может быть выполнено данное требование.

    Необходимо ли проводить контроль встраивания СКЗИ на каждый релиз ПО (разрабатываемого вендором или участниками ССНП и СБП)? Как обеспечить проверку целостности сообщений при использовании технологии, которая этого вообще не подразумевает?

    Контроль встраивания на уровне звена данных или сетевом уровне производится при установке СЗИ и не зависит от изменений ПО на прикладном уровне.

    Здравствуйте!
    Существует ли какая-то утвержденная методика ЦБ на проведение пентеста в банке?

    Здравствуйте!

    Банком России утверждены рекомендательные требования к проведению тестирования на проникновение систем (пентест) содержащиеся в Положениях Банка России 382-П и 683-П.

    Согласно 382-П: «2.5.5.1. Оператору по переводу денежных средств, оператору услуг платежной инфраструктуры на стадиях создания и эксплуатации объектов информационной инфраструктуры необходимо обеспечить: (в ред. Указания ЦБ РФ от 07.05.2018 N 4793-У).»

    Согласно 683-П: «3.2. Кредитные организации должны обеспечить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.»

    Также существуют международные стандарты пентеста, которые имеют рекомендательный характер.

    Методологии тестирования защищенности:
    Open Source Security Testing Methodology Manual (OSSTMM);
    Information Systems Security Assessment Framework (ISSAF);
    NIST 800-42 Guideline on Network Security Testing;
    OWASP Testing Guide;
    Wireless Penetration Testing Framework.

    По результатам пентеста составляется отчет, который включает в себя помимо прочего список выявленных уязвимостей и рекомендации по их устранению.

    При выполнении рекомендаций осуществляется повышение устойчивости системы за счет снижения рисков информационной безопасности и соответствие требованиям Законам Российской Федерации (пример: «Закон о персональных данных»), а также требованиям по информационной безопасности Банка России (382-П).

    После проведения аудита по ГОСТ 57580, а конкретно, по 683-П в каком виде предоставятся рекомендации?

    Рекомендации составляются после проведения каждого аудита вне зависимости от нормативного акта, в соответствии с которым проводился аудит. Этот документ содержит меры, оценка которых была выставлена ниже показателя 1 в процессе проведения аудита, а также способы повышения оценки и снижения рисков ИБ. Следует отметить, что рекомендации не являются техническим заданием и решение о необходимости их реализации, выделении бюджета и проч. принимает руководство проверяемой организации.

    Как часто нужно делать оценку соответствия по ГОСТ 57580.1-2018, 672-П, 683-П?

    Какие из должны выполняться только с привлечением внешней организации и с какой периодичностью?

    Согласно абзацу первому подпункта 9.2 Положения №683-П необходимо обеспечить проведение оценки соответствия уровню не ниже третьего в соответствии с ГОСТ Р 57580.2-2018 до 1 января 2021 года. Согласно пункту 9 Положения №683-П необходимо обеспечить проведение оценки не реже одного раза в два года, оценка соответствия защиты информации должна осуществляться с привлечением сторонних организаций, имеющих лицензию на проведение данных работ.

    В соответствии с пунктом 4 (вступает в силу с 01.07.2021 г.) Положения №672-П банки должны применять меры защиты информации по 2 (стандартному) уровню защиты ГОСТ Р 57580.1-2017. Таким образом, необходимо обеспечить проведение оценки соответствия (согласно пункту 20 Положения №672-П — не реже одного раза в два года, а также по требованию Банка России) по 672-П до 1 июля 2021 г.

    Когда использование ГОСТ2017 становится обязательным для банков? С какой даты перестает действовать ГОСТ2012?

    В соответствии с п.3.1 683-П применение ГОСТ 57580.2017 уже обязательно для банков. Так же, в соответствии с п.9.2, необходимо достичь третьего уровня соответствия к 01.01.2021 г. Согласно комментариям Банка России, достижение соответствия обозначает оценку не ниже 0.7 по каждому из процессов защиты информации, определенным ГОСТ 57580, и по величине итоговой оценки.

    По ОУД4 нужно ДБО или еще и АБС?

    Если мы говорим про 683-П, то там ДБО предусмотрено однозначно, а АБС предусмотрен в том случае, если он обрабатывает клиентские платежи. По 382-П и по 719-П предусмотрены требования и к АБС, и к ДБО. Исходя из комментариев ЦБ нужно смотреть на архитектуру каждого банка. Таким образом по анализу уязвимостей ОУД4 — ДБО точно, АБС возможно, в зависимости от архитектуры.

    Какова же стоимость такого тройного отчета может быть? И какой срок проведения?

    «Тройного отчета» нет.
    Отчет будет один, просто расширяется область оценки, но это решается в индивидуальном порядке.
    Для примера, если мы проводим работы по 719-П, то «тройной отчет» стоит столько же, сколько отчет по 719-П. Т.е. независимо от того вписываем 683-П, 672-П — область оценки одна и та же. А добавить на титульный лист 2 отдельные строчки денег в нашей компании не стоит.

    Банком приобретается новое мобильное приложение, когда надо проводить пентест?

    Пентест надо проводить (согласно 382-П, 683-П) ежегодно. Если мы смотрим ГОСТ 57580 там есть отдельные пункты жизненного цикла, и пентест также требуется проводить ежегодно либо при смене инфраструктуры. Но если Вами приобретается новое мобильное приложение, то оно должно пройти (на данный момент) анализ уязвимостей по ОУД4, это не пентест, но другое требование. С точки зрения Банка России, анализ уязвимостей должен быть проведен до того, как Вы запускаете приложение в эксплуатацию.

    Есть ли перспективы у ЦБ по проверке банков на соответствие 683-П и ГОСТ Р 57580.1 в этом году?

    Есть не только перспективы, но и прецеденты. У одного из наших клиентов ЦБ уже запросил отчет по ГОСТ в рамках требований 683-П.

    Правильно понял, что делая оценку по ГОСТ, то можно сделать единый отчет как для 683-672-719-П?

    Да, про 683-П, 672-П ЦБ ответил «да», про 719-П разумно предположить что тоже да, т.к. суть одна и таже.

    А если участок СБП выведен в отдельный контур, это не значит, что отчет должен быть отдельный?

    Участок СБП может быть выделен в отдельный сегмент в сети, но контур, с точки зрения ГОСТ 57580, — это совокупность средств автоматизации, к которым предъявляются одни и те же требования. Т.е. если у Вас участок СБП попадает в соответствии с 672-П под стандартный уровень защищенности и платежная инфраструктура в банке под стандартный уровень защищенности в соответствии с 683-П, 719-П, то с точки зрения ГОСТа это один и тот же контур.

    Для работ по 683-П требуется привлечение внешних организаций с лицензией на ТЗКИ?

    Да, требуется привлечение внешнего лицензиата.

    Наши отзывы по приведению в соответствие требованиям 683-П и проведению оценки по ГОСТ Р 57580

    Благодарность от АО «НВКбанк»

    26.08.2019

    Отдел по обеспечению информационной безопасности АО «НВКбанк» выражает благодарность руководству и специалистам ООО «РТМ ТЕХНОЛОГИИ» за эффективно проведенные работы по проведение оценки соответствия по требованиям Положения Банка России от 9 июня 2012 г. № 382-П. По результатам проекта специалистами ООО «РТМ ТЕХНОЛОГИИ» было предоставлено заключение о результатах оценки соответствия и подготовлены рекомендации по устранению всех выявленных несоответствий и совершенствованию применяемых мер по защите информации при осуществлении переводов денежных средств. С завершением работ мы хотим поблагодарить команду ООО «РТМ ТЕХНОЛОГИИ» за профессионализм, надежность и качественное исполнение проекта. Рекомендуем компанию как ответственного и высокопрофессионального исполнителя, а также надеемся в дальнейшем продолжить сотрудничество между нашими организациями в будущих проектах по информационной безопасности. С уважением, Советник Председателя Правления по информационной безопасности Бобров Б.Б.
    Благодарность от КБ «ОБР» (ООО)

    26.08.2019

    По результатам внешней независимой оценки выполнения КБ «ОБР» (ООО) установленных Положением 382-П требований к обеспечению защиты информации при осуществлении переводов денежных средств, специалисты компании ООО «РТМ ТЕХНОЛОГИИ» предоставили заключение о выполнении Банком необходимых требований, подготовили подробный отчет по результатам оценки соответствия платежной системы требованиям 382-П и предоставили рекомендации по совершенствованию системы защиты информации. КБ «ОБР» (ООО) благодарит ООО «РТМ ТЕХНОЛОГИИ» за оказанное содействие в совершенствовании систем защиты информации Банка и оперативность исполнения проекта, а так же рекомендует компанию как надежного партнера, с которым мы хотели бы продолжить сотрудничество и в будущем. С уважением, Начальник отдела СИБ КБ «ОБР» (ООО) Иванов Н.И.
    Благодарность от АО «Углеметбанк»

    28.06.2021

    Уважаемый Федор Александрович! АО "Углеметбанк" выражает благодарность компании «RTM Group» и, в частности, экспертам Кобецу Д.А. и Воронину В.Л. за высокий уровень профессионализма при выполнении работ, а также качественное проведение оценки соответствия информационной безопасности Банка требованиям ГОСТ Р 57580.1-2017, Положения 683-П и Положения 747-П. В рамках аудита была проведение тщательная проверка информационной инфраструктуры и, по её итогам, предоставлена исчерпывающая информация о защищенности всей информационной инфраструктуры, даны практические рекомендации по выявленным несоответствиям. В процессе проведения аудита эксперты «RTM Group» оказывали дополнительные консультационные услуги в разработке организационно-распределительной документации и оперативного повышения уровня соответствия требованиям информационной безопасности АО «Углеметбанк». С уважением, Председатель Правления Т.В. Бессмертных

    Услуги для вас

    НАМ ДОВЕРЯЮТ